Firefox zeigt mehrere PIN-Aufforderungen für Smartcards mit OpenSC an

587
Coderer

Ich habe OpenSC 0.18 installiert und die PKCS11-DLL als Anbieter für Sicherheitsgeräte in Firefox 61 hinzugefügt. Ich kann meine Smartcard im Dialogfeld "Sicherheitsgeräte" "entsperren" und wie erwartet zur Eingabe der PIN aufgefordert werden. Wenn ich jedoch eine Site besuche, die die Karte zur Authentifizierung verwenden möchte, werde ich zur Eingabe einer PIN aufgefordert, noch bevor ich zur Auswahl eines Zertifikats aufgefordert werde. Dann werde ich noch oft (5-10) aufgefordert, bevor der Anmeldeprozess abgeschlossen ist. Wenn Sie dieselbe Site über eine Linux-Box besuchen (mithilfe von coolkeyTreibern), erhalten Sie eine einzige PIN-Aufforderung.

Ich verwende die Standard-Konfigurationsdatei für OpenSC, die PIN-Caching sollte meiner Meinung nach aktiviert sein. Ich weiß nicht einmal, ob es sich um ein Firefox-Problem, ein OpenSC-Problem oder etwas Spezifisches für die betreffende Site handelt. Wie kann ich diese übermäßige Aufforderung beenden?

1
Bitte klären Sie, welche Chipkarte Sie verwenden (ich gehe davon aus, dass es sich um PIV handelt). Sie sollten OpenSC auch in der Linux-Box verwenden können, um sich zu vergewissern, dass es sich nicht um Windows handelt - ich habe dort keine Erfahrung mit der Verwendung von Smartcards. Durch die Verwendung der Option "pin_cache_ignore_user_consent" werden möglicherweise auch Ihre Probleme gelöst. Jakuje vor 5 Jahren 0
Vielen Dank für Ihr Interesse. Ich hätte diese Frage aktualisieren sollen, als ich das Problem gelöst habe. [Diese Frage] (https://github.com/OpenSC/OpenSC/issues/1436) enthält die Details. Die Kurzversion lautet jedoch: Die ID enthält zwei CAC / PIV. Die Site wurde so konfiguriert, dass sie das DS-Zertifikat (keine ID) anfordert ) vom PIV-Modul, und das PIV-Applet erfordert bei der Verwendung des DS-Zertifikats immer eine PIN. Die Site könnte dies durch Anfordern einer ID anstelle von DS beheben. In der Zwischenzeit habe ich das Problem behoben, indem der CAC-Treiber erzwungen wurde, der für den DS-Zugriff keine Pin-per-Use-Funktion erzwingt. Coderer vor 5 Jahren 0
Freut mich zu hören, dass Sie Ihr Problem gelöst haben. Bitte geben Sie eine Antwort auf die Frage, wie Sie Ihr Problem gelöst haben, damit andere, die darüber stolpern könnten, wissen, was zu tun ist. Die Doppelkarten sind schwer zu handhaben. Jakuje vor 5 Jahren 0

2 Antworten auf die Frage

3
Douglas Engert

Die mehrfachen Aufforderungen zur Eingabe von PINs können darauf zurückzuführen sein, dass das PKCS11-Modul falsche Informationen zum Anmeldezustand der Karte zurückgibt. Dies könnte beispielsweise auch durch die Einstellung in der Datei opensc.conf verursacht werdendisconnect=reset;

Weitere Informationen werden benötigt. Siehe Verwenden-OpenSC wie PKCS # 11 Spy verwenden und wie ein opensc-debug.log zu bekommen.

Wenn dies ein OpenSC-Problem zu sein scheint, setzen Sie die Diskussion fort, indem Sie ein Problem bei OpenSC Issues einreichen

Ich werde ein ausführliches Debug-Protokoll im Projekt-Ausgaben-Tracker verfolgen. Wenn es eine einfache Lösung ist, melde ich mich hier zurück. Coderer vor 5 Jahren 0
Es war eine einfache Lösung. Siehe den Kommentar, den ich gerade zu der Frage hinterlassen habe, aber in meinem Fall war die Antwort "Erzwingen des" cac "-Treibers in der Konfigurationsdatei. Coderer vor 5 Jahren 0
0
Coderer

Für die Nachwelt: Mein spezielles Problem wurde dadurch verursacht, dass die Site ein DS-Zertifikat vom PIV-Applet anfordert, das immer dann die PIN bei jedem Zugriff auf das DS-Zertifikat anfordert. Die langfristige Lösung wäre, dass die Site anstelle des DS One das ID-Zertifikat anfordert. Die kurzfristige Lösung besteht darin opensc.conf, die Zeile zu aktualisieren force_card_driver = cac;. Das bedeutet, dass OpenSC den CAC-Treiber anstelle des PIV-Treibers verwendet.

Verwandte Probleme